Kako varno je nakupovanje na spletu

V reviji za denarništvo in bančništvo “Bančni vestnik”, letnik 60, številka 7-8, je bil objavljen moj članek z naslovom “Kako varno je nakupovanje na spletu”. Revijo je možno naročiti pri Združenju bank Slovenije, http://www.zbs-giz.si/, kmalu pa bo na voljo tudi elektronska različica.

PCI-DSS v2

pci_dss.gif Zagotavljanje informacijske varnosti v IKS se prične z vzpostavitvijo varnostne politike, ki navadno upošteva smernice uveljavljenih standardov. Čeprav je bilo že pred časom predstavitve prve različice standarda PCI-DSS na voljo že nekaj sorodnih standardov, so izdajatelji plačilnih kartic - podjetja Visa, MasterCard, American Express, Discover in JBC, razvijali lastne programe, namenjene vpeljavi dodatnega nivoja zaščite pri procesiranju in hranjenju podatkov o plačilnih karticah. Podjetja so leta 2006 skupaj ustanovila koncil Payment Card Industry Security Standards Council in pod njegovim okriljem še istega leta izdala prvo različico standarda PCI Data Security Standard ali krajše PCI-DSS.
PCI-DSS je namenjen organizacijam, ki posredno ali neposredno upravljajo s podatki o plačilnih karticah. Vsebuje nabor smernic ali bolje rečeno zahtev, tako tehničnih kot operativnih, za zagotavljanje varnega ravnanja z zaupnimi podatki. Trgovci, transakcijski sistemi, sistemi za zajem in hrambo podatkov, izdajatelji in ponudniki storitev so le nekatere izmed entitet, ki vstopajo vsakodnevno v stik s tovrstnimi podatki. Vpeljava standarda v poslovanje teh entitet bi naj zagotovila bistveno višjo raven varnosti pri ravnanju s podatki o plačilnih karticah in omejila njihovo krajo, zlorabo in ostale grožnje.
Kot se bomo prepričali v nadaljevanju, je možno standard, delno ali v celoti, vpeljati tudi v IKS, ki ni nujno del plačilnega okolja. PCI-DSS vsebuje večje število smernic, ki so produkt dobrih praks in so priporočljive v vsakem okolju, kjer želimo povišati nivo informacijske varnosti. Krovnih zahtev je dvanajst, vsaka pa vsebuje večje število podzahtev in nabor pripadajočih testov s katerimi preverimo ustreznost.

Zahteva 1: Namestite in vzdržujte protipožarne pregrade v omrežju.
Obstoječo konfiguracijo moramo dokumentirati in opremiti s shemo omrežja, ki jasno prikazuje vse povezave do podatkov o plačilnih karticah. Dokumentacija mora vsebovati obrazložitev uporabe vsake storitve v omrežju (FTP, SNMP, Telnet ipd.). Vsaka naprava, priklopljena v notranje omrežje z dostopom do interneta, mora imeti namenščeno lasteno protipožarno pregrado.

Zahteva 2: Ne uporabljajte privzeta gesla in ostale privzete vrednosti ob namestitvi naprav
Pred priklopom sistema v omrežje moramo odstrani vsa privzeta gesla in skrbno pregledati vse privzete nastavitve. Pri prenosu podatkov skozi prosto berljive protokole (FTP, Telnet, NetBios) naj se uporabljajo IPSec ali VPN povezave.

Zahteva 3: Zaščitite hrambo podatkov o plačilnih karticah
Doba hranjenja podatkov o plačilnih karticah naj bo minimalna, njihovo uničenje pa naj bo podprto s preverjenimi in zanesljivimi postopki. Avtentikacijski podatki naj ne bodo po opravljeni uspešni avtentikaciji shranjeni nikjer. Nekateri podatki, kot so številke PIN (Personal Identification Number) in CVV (Card Verification Code) naj ne bodo nikoli shranjeni.

Zahteva 4: Kodirajte prenos podatkov o plačilnih sredstvih v nezaščitenih javnih omrežjih
Zahtevana je uporaba protokolov IP-SEC, SSL/TLS, SSH pri prenosu podatkov skozi odprta, nezaščitena omrežja. Uporaba algoritma WEP (Wired Equivalent Privacy) je prepovedana.

Zahteva 5: Uporabljajte in redno nadgrajujte protivirusno in protipožarno programsko opremo
Vsi sistemi, ki so podvrženi grožnjam s spleta morajo imeti nameščeno protivirusno in protipožarno programsko opremo.

Zahteva 6: Razvijajte in vzdržujte varne IKS in aplikacije
Zagotovite, da imajo vsi sistemi nameščene zadnje varnostne popravke, identificirajte grožnje, razvijajte »varno« programsko opremo v skladu s PCI-DSS. Lastna programska oprema mora biti revidirana s strani kvalificiranega osebja, ki ne sme biti avtor sam, lahko pa je to zaposleni v podjetju.

Zahteva 7: Omejite dostop do podatkov o plačilnih sredstvih na minimum, ki je še potreben za poslovanje
Zaposleni naj imajo dostop le do podatkov, ki jih potrebujejo za nemoten delovni proces (ang. need-to-know). Vpeljava sistema za nadzor nad dostopi in dosledno dodeljevanje pravic uporabnikom.

Zahteva 8: Zagotovite unikatno identifikacijsko številko osebi z dostopom do IKS
Omogočena more biti sledljivost vsem uporabnikom v IKS v vsakem trenutku. Za dostop do notranjega omrežja od zunaj naj se uporabi dvofaktorska avtentikacija in dobra politika upravljanja z gesli uporabnikov. Gesla morajo biti vseskozi hranjena v neberljivi obliki (uporaba zgoščevalnih funkcij, ang. hash algorithm).

Zahteva 9: Omejite fizičen dostop do IKS
Vse vstopne točke do IKS naj bodo nadzorovane, vključno z omrežnimi vtičnicami. Obiskovalci morajo biti v prostorih podjetja ustrezno vizualno označeni. Fizično varovanje vseh medijev, njihova ustrezna klasifikacija in uničenje.

Zahteva 10: Nadzirajte in omogočite sledenje vseh dostopov do omrežnih virov in podatkov o plačilnih sredstvih
Rekonstrukcija dogodkov na podlagi zapisov v sistemskih dnevnikih, sinhroniziran čas po vseh strežnikih, preverjanje integritete datotek na sistemu, dnevno pregledovanje dnevniških zapisov.

Zahteva 11: Redno izvajajte varnostne preglede sistemov in procesov (penetracijska testiranja)
Vsaj vsako četrtletje naj se izvede notranji in zunanji varnostni pregled, vsaj enkrat letno in po vsaki bistveni spremembi IKS pa naj se izvede tudi temeljito penetracijsko testiranje, vključno s pregledom brezžičnih točk.

Zahteva 12: Vzpostavite varnostno politiko, ki vključuje tudi vse osebje (varnostni pregledi naj se izvajajo vsako četrletje, oceno tveganja pa enkrat letno)
Verjetno najpomembnejša zahteva govori o vzpostavitvi varnostne politike, ki zajema vse zahteve PCI-DSS. Vzpostaviti je potrebno dnevne postopke osnovnih pregledov IKS. Ne smemo pozabiti na privatne naprave zaposlenih npr. telefone, ki jih ti prinašajo v podjetje in vklapljajo v notranje omrežje. Izobraževanja zaposlenih o varnostni politki, preverjanje znanja in seznanjanje z grožnjami.

Ob vsaki zahtevi standard navaja tudi nabor testov, s katerimi si lahko pomagamo pri testiranju ustreznosti minimalnih zahtev standarda. Predvideni testi so sicer zelo skopi in odgovorijo samo na vprašanje kaj testirati, redkeje pa tudi kako. V preteklosti je bil PCI-DSS deležen tudi kritik, predvsem na račun zavajajočih 12 zahtev, ki dejansko zajemajo 220 podzahtev. Zagotoviti ustreznost vsem zahtevam je za mnoge trgovce neuresničljiv cilj, tudi zaradi tehničnih ovir, ki bi drastično spremenile način njihovega poslovanja in bi za seboj potegnile ogromno stroškov. Če se želimo standardizirati, lahko svojo organizacijo pripeljemo do skladnosti tudi sami, brez pomoči zunanjega izvajalca, saj je standard prosto dostopen na spletu. Skladnost s standardom oz. podelitev naziva certificirane organizacije po PCI-DSS nam lahko zagotovi (le) podjetje, ki je za to usposobljeno in kvalificirano s strani PCI SSC. Tovrstnih podjetij, z nazivom Qualified Security Assessor (QSA), je malo, seznam je dostopen tukaj. PCI SSC priporoča bankam, da zahtevajo od trgovcev standardizacijo (certified proof of PCI compliance) v primeru, če imajo opravka z vsaj 20,000 transakcijami na letni ravni.

V Sloveniji je možno najeti podjetja za varnostni pregled po standardu PCI-DSS, vendar bodimo pri izbiri partnerja pozorni, saj si nekatera izmed njih lahko posamezne podzahteve razlagajo malce po svoje. Npr. podjetje Astec , ki mimogrede ni na seznamu QSA, v svoji ponudbi za varnostni pregled izvorne kode navaja, da “…mora [pregled] opraviti organizacija, ki je specializirana za aplikacijsko varnost in je neodvisna od razvijalcev aplikacije.”, kar je le delno res. Namreč standard pravi, da lahko varnostni pregled izvorne kode opravi tudi kompetentno osebje, zaposleno v istem podjetju izključujoč avtorja (točka 6.3.2: Code reviews can be conducted by knowledgeable internal personnel or third parties).

A vprašajmo se sedaj, nam dosledno upoštevanje zahtev standarda resnično zagotavlja neoporečno varnost in nas, kot uporabnike plačilnih sredstev varuje pred zlorabami? Leta 2009 se je zgodil vdor v podjetje Heartland Payment System Inc. od koder so bili odtujeni podatki o 100 milijonih imenitkov kreditnih kartic. Podjetje je bilo v času vdora skladno s standardom PCI-DSS a morda ne v celoti, saj ni uspelo zaznati zlonamerne programske opreme, ki jo je kiberkriminalcem uspelo namestiti na sisteme v podjetju. Moje mnenje o standardu je pozitivno in čigar vpeljavo bi priporočal v vsaki organizacijski strukturi, četudi standarda ne vpeljemo v celoti in se ne certificiramo. Sleherni sistemski inženir ali informacijski varnostni inženir bo po bežnem pregledu zahtev v njih prepoznal dobre prakse, ki jih morda uporablja že sam pri svojem delu.

Standard je prosto dostopen na spletnem mestu PCI Security Standards Coucil.

Anonimnost v informacijsko-komunikacijskih sistemih

Tokratni, nekoliko obsežnejši a sila zanimiv prispevek anonimnost.jpgtemelji na predavanju z naslovom Anonimnost - Tehnike zagotavljanja anonimnosti med napadalci, ki sem ga imel priložnost predstaviti leta 2007 na konferenci Infosek - Forum. A takrat predstavljene tehnike prikrivanja identitete v informacijsko-komunikacijskih sistemih (IKS) niso izgubile prav nič na svojem čaru in so danes še vedno uporabne ter uporabljene. Nekatere najučinkovitejše bomo tudi podrobneje spoznali.

Agenda

Najprej bomo poskušali vzpostaviti pojem anonimnosti v informacijskem in telekomunikacijskem omrežju in se vprašali zakaj je ta pomembna med napadalci oz. v splošnem kiber kriminalci, nadaljevali z bolj tehničnim delom s predstavitvijo nekaterih tehnik in metod zagotavljanja anonimnosti ter zaključili s predstavitvijo načinov sledenja, v kolikor je to sploh mogoče.

Zakaj anonimnost?

anon.jpgIzhajal bom iz citata v knjigi Nadzor in zasebnost v informacijski družbi, ki pravi: “[Hekerji] razumejo, da če ‘kriminal’ ne more biti povezan s telesom, le-to ne more biti kaznovano” (Thomas, 2000: 24). Pojem anonimnosti moramo razlikovati od pojma zasebnosti. Anonimnost pomeni nepoznavanje identitete opazovanega subjekta medtem, ko zasebnost pomeni poznavanje identitete a nepoznavanje vsebine, ki jo zasebnost varuje. Podatek, ki ga napadalci najbolj skrbno varujejo je podatek o njihovem izvoru – povezavi, točka iz katere se povežejo v IKS. Razkritje izvora navadno pomeni tudi razkritje njih samih. Zasebnost dosežemo oz. varujemo z varovanjem vsebine, anonimnost pa s prikrivanjem izvora komunikacije (lahko tudi izvora vsebine). V informacijskem omrežju bomo izvor definirali z IP naslovom, v telekomunikacijskem omrežju pa tako s telefonsko številko kot tudi z IP naslovom. Velja, da si je anonimnost v IKS težko zagotoviti, še težje ohranjati, a jo je zelo enostavno izgubiti (potrebna je le majhna nepazljivost).

Stopnje anonimnosti

online_ad_revenue_optimization_real_time_price_prediction_offers_new_opportunities_2_three_levels_of_optimization_id10072122_resize.jpgNevešči kiber kriminalci uporabljajo sredstva za doseganje anonimnosti nad katerimi nimajo nadzora. Uporabljajo jih zgolj kot sredstvo za prikrivanje njihovega pravega izvora. Psevdoanonimnost je primerna takorekoč le za dostopanje do omejenega izbora vsebin, saj je mogoče izvor vseeno locirati npr. s pregledom dnevniških zapisov v IKS. Sam bi v to kategorijo umestil omrežje Tor, ki sicer ponuja visoko mero anonimnosti a vseeno ne omogoča kiber kriminalcem nadzora nad členi v verigi. Spomnimo se primera vdora v spletno pošto Sarah Palin septembra leta 2008. Obtoženi David Kernell je sicer uporabljal posredniško HTTP storitev Ctunnel za prikrivanje svoje identitete a je lastnik storitve sodeloval z FBI in jim posredoval dnevniške zapise. V Sloveniji lahko povzamemo primer Xanez123, kjer je napadalec pri napadu uporabil ukraden Arnes račun, kar pa mu ni zagotovilo anonimnosti zaradi izvorne lastniške telefonske številke. Dober primer je tudi prikrivanje identitete (telefonske številke) v GSM omrežju kjer klicana oseba ne vidi telefonske številka klicatelja, a operater vseeno razpolaga z njo.
T.i. popolno anonimnost si kiber kriminalci lahko zagotovijo na več načinov. Z uporabo javno dostopih točk do IKS nad katerimi se ne izvaja nadzor, s krajo identitete ali z uporabo posredniških sistemov nad katerimi imajo popoln nadzor. V končnem velja, da bodo kiber kriminalci najpogosteje delovali z identiteto nekoga drugega čigar sledi lahko nato naknadno tudi popolnoma zabrišejo.

Telekomunikacijsko omrežje

old_phone.jpgV klasičnem analognem in digitalnem omrežju (PSTN, ISDN, DSL…) se za identifikacijo uporabnika uporablja enolično določena naročniška telefonska številka (CLIP), ki služi kot osnova za določitev klicatelja. V GSM in UMTS omrežju se za identifikacijo uporablja številka IMSI, ki je nato pri operaterju asociirana z naročnikom. Posebno obravnavo zasluži IP telefonija (VoIP) saj se za identifikacijo uporabnika uporablja SIP račun (za vsako transakcijo pa tudi IP naslov). Dejavnost manipuliranja s telekomunikacijskim omrežjem imenujemo ang. phone phreaking.

Klasično telefonsko omrežje

Začnimo s pregledom klasičnega analognega telefonske omrežja.untitled-1.jpg Telefonski priključki so preko parice povezani do razdelilne omarice in nato dalje vse do telefonske centrale. Fizičen dostop do parice omogoča zlorabo in prevzem identitete telefonskega priključka. Dostop do razdelilne omarice pa omogoča celo prevzem identitete poljubnega naročnika v tem razdvojišču. Pri oddaljenemu dostopu kiber kirminalci zlorabljajo slabo konfigurirane telekomunikacijske naprave, ki so priključene na omrežje. Bodisi so to manjše hišne privatne telefonske centrale (PBX - ang. private branch exchange) z vsaj dvema kanaloma (ISDN ima dva pogovorna kanala) ali druge naprave, ki omogočajo posredovanje klicev oz. t.i. dialout funkcionalnost. Klicatelj lahko z zlorabo takšne naprave izvaja klice z lažno identiteto in poleg tega še na tuj račun. Ne pozabimo tudi na telefonske govorilnice. Če te niso pod video nadzorom, omogočajo klicatelju sredstvo s katerim lahko izvajajo popolnoma anonimne klice.
Za signaliziranje v omrežju je danes večinoma v uporabi protokol SS7 (Signaling System No.7), ki postaja v zadnjem času čedalje bolj zanimiv za kiber kriminalce. Ker gre za zaprt protokol, ki ni bil nikoli dostopen izven konteksta certificiranih telekomunikacijskih naprav in še to samo operaterjem, obstaja opravičen sum, da je ranljiv. S pojavom odprtokodnih privatnih telefonskih central, postaja SS7 ob uporabi namenskih kartic PCI (npr. FXO/FXS) dostopen za raziskovanje tudi običajnim uporabnikom.

GSM/UMTS

mobile-evolution.gifS procesom kloniranja SIM kartic je možno izdelati SIM kartico z lažno številko IMSI in s tem prevzeti identiteto nekoga drugega. Zaščito v SIM karticah, ki so bile izdelane pred letom 2001 bi naj bilo dokaj enostavno razbiti, novejše kartice V2 pa imajo že vgrajene mehanizme, ki preprečujejo napad z uporabo grobe sile nad ključem Ki. Napadalec lahko še vedno odtuji mobilno napravo in jo uporabi za sprožanje klicev ali za dostop do podatkovnega omrežja.
V Sloveniji imamo za razliko od prenekaterih ostalih držav možnost nakupa predplačniških SIM kartic brez osebne identifikacije. To kiber kriminalcem omogoča, seveda ob uporabi te kartice v mobilniku, ki je uporabljen izključno v ta namen, anonimno klicanje. Ni skrivnost, da mobilni operaterji beležijo skozi triangulacijo podatek o lokaciji telefona, kiber kriminalci pa morajo biti pozorni tudi na to, kako napolnijo predplačniški račun. Nakup kartice s številko za polnjenje ne sme biti opravljen skozi bankomat ali drugo sredstvo, ki omogoča identifikacijo kupca. Telefon skupaj z IMSI oddaja številko IMEI (identifikacija mobilne naprave) zato je možno povezati uporabo različnih SIM kartic v istem mobilniku. Če je bila naprava prijavljena kot ukradena je možno preveriti tukaj.
Pri mnogih operaterjih je mogoče s predplačniško kartico dostopati tudi do podatkovnega omrežja (svetovnega spleta), skoraj vsak telefon pa omogoča tudi uporabo modema in preko AT ukazov klicanje oddaljenih telekomunikacijskih sistemov (modemov).

Privatne telefonske centrale in VoIP

siemens2.jpgIn že smo se prebili do privatnih telefonskih central, tako klasičnih digitalnih (Iskratel, Siemens, Alcatel…) kot tudi novejših trendovskih in sila fleksibilnih ter poceni VoIP (npr. Asterisk PBX). Telefonske centrale beležijo, že za voljo evidentiranja stroškov, vse transakcije. Kiber kriminalci s priviligiranim dostopom lahko opravijo ali sprejmejo klic (transakcijo) pri čemer igra telefonska centrala le vlogo posredniškega IKS (npr. preusmeritev klica, ang. call forwarding) in nato izbrišejo nastavitve preusmeritve in dnevniške zapise. Pri operaterju je izhodni klic iz privatne telefonske centrale nato težje povezati z (istočasnim) dohodnim klicem, posebno v času večje obremenitve. Kiber kriminalcem ne bo tuje veriženje komunikacijskih sistemov (tudi skozi omrežja različnih operaterjev v različnih državah) skozi večkratno preusmeritev. V zlatih časih modre škatlice (ang. blue box) je Captain Crunch-u uspelo izvesti klic, ki je obkrožil svet, predno je zazvonil telefon ob njemu.
Z ukradenim SIP računom lahko kiber kriminalci izvajajo klice (ne samo govorne, ampak tudi podatkovne na oddaljene dialup sisteme s pomočjo gonilnikov, ki so na voljo npr. v paketu FaxVoIP) z identiteto lastnika računa a bo njihov izvorni IP naslov, v kolikor ne bodo poskrbeli za prikritje le tega (glej naslednje poglavje) zabeležen na SIP strežniku (oz. SIP prehodu). Kiber kriminalec si sicer lahko zagotovi priviligiran dostop na strežniku, kjer je nameščena VoIP telefonska centrala in pobriše vse transakcije a si s tem ne zagotovi popolne anonimnosti. Namreč SIP protokol uporablja za podatkovno komunikacijo protokol RTP, ki vzpostavi direktno povezavo med sodelujočimi v klicu (ne glede na število SIP prehodov in SIP posredniških strežnikov). V poštev pride zgolj uporaba kakšnih posredniški strežnikov SOCKS v5, ki pa pri mnogih odjemalcih VoIP niso podprti (recimo Ekiga jih ne podpira).
Kot že ime pove, temelji VoIP na IP protokolu kar pomeni, da imamo dejansko opraviti z informacijskim omrežjem. Pri napadih na telefonske centrale VoIP je torej med kiber kriminalci sila uporabno poznavanje metod in tehnik napadov na informacijsko-komunikacijske sisteme. Manipulacija takšnega omrežja je zagotovo lažja od klasičnega digitalnega telekomunikacijskega, saj je na svetovnem spletu na voljo bistveno več informacij o delovanju sistemov, vključno z vsemi protokoli, ki se uporabljajo in načini delovanja. Informacije o delovanju klasičnih telefonskih central so zelo težko dostopne nepooblaščenemu osebju. Poleg tega pa je najbolj razširjena telefonska centrala VoIP - Asterisk PBX, celo odprtokodna, kar pomeni da imamo na voljo njeno izvorno programsko kodo.

Prehodi GSM, sistemi za podaljšano izbiranje

cf100fx2-g.jpgTema je bila že predstavljena v enemu izmed obširnih prispevkov na tem blogu. Vseeno pa na hitro ponovimo dejstva:

  • Prehodi GSM so, če niso ustrezno kofigurirani, dostopni direktno s klicem na ustrezno telefonsko številko SIM kartice.
  • Prehodi GSM omogočajo, če so neustrezno konfigurirani, klicanje na poljubno telefonsko številko. Pri tem za klic uporabi ustrezen prosti kanal (lahko je to spet mobilno omrežje ali drugo glede na dialplan).
  • Sistem za podajšano izbiranje je storitev privatnih telefonskih central, ki omogoča klicanje telefonske številke glede na izbrano konfiguracijo, navadno brez omejitev na poljubno destinacijo.

Lociranje telefonskih številk prehodov GSM je enostavno, če ni uporabljeno prikrivanje identitete. Telefonsko številko bo razkril klic iz privatne telefonske centrale na mobilno omrežje (glede na dialplan). Enako ne moremo trditi za sisteme za podaljšano izbiranje saj ti niso javni in so dostopni le preko posebne (interne) telefonske številke ali drugače.

Informacijsko omrežje

IP spoofing je sicer mogoč a je redko uporaben, saj bodo odgovori na zahteve posredovani na poneverjen IP naslov. Če kiber kriminalec nima dostopa do omrežnega vmesnika s tem IP naslovom, ne bo mogel pregledovati odgovorov. IP spoofing se največkrat uporablja pri anonimnem izčrpnem pregledovanju IKS (npr. naprednejše tehnike izčrpnega pregledovanja odprtih vrat, kjer so odgovori posredovani na nek drug IP naslov na katerem nato preverjamo sekvenčno številko paketov).
Je pa, kot že rečeno, za kiber kriminalce pri njihovem dejanju najpomembnejše prikrivanje njihovega izvora, ki ga določa IP naslov povezave. V informacijskem sistemu IP naslova izvora ne moremo kar izničiti, zato kiber kriminalci poskrbijo, da bo ta IP naslov karkoli razen njihov pravi. V nadaljevanju bomo spoznali kako to storijo.

Javno dostopne točke do IKS

cyber_cafe.jpg Cyber caffe-ji in ostale javno dostopne točke dostopa do svetovnega spleta že dolgo veljajo za vstopno točko do IKS, ki ne zahteva osebne identifikacije pri uporabi in tako omogočajo anonimno uporabo. Ker je gostota uporabe IKS v takšnih prostorih zelo velika, je edino sredstvo pri ugotavljanju uporabnika posnetek nadzorne kamere, če ta sploh obstaja. Pa še v tem primeru je identifikacija vprašljiva.
Javno dostopne točke najdemo še v hotelih, knjižnicah, raznih sejmih in še bi lahko naštevali.

SSH tunneling

ssh.jpgTuneliranje prometa skozi SSH je posebna tehnika, ki omogoča kiber kriminalcem uporabo IKS, na katerih imajo SSH dostop, ustvariti poljubno dolgo verigo pretoka podatkov skozi izbrana vrata TCP (s souporabo orodja netcat tudi UDP). Gre za storitev, ki je del strežnika SSH in jo je mogoče v nastavitvah tudi onemogočiti (AllowTcpForwarding no). Privzeto se tuneli ne logirajo! Logiranje zahtev po tunelih SSH je mogoče samo v debug načinu delovanja strežnika SSH ali z rahlo modifikacijo izvorne kode, za kar je potreben recompile. Skozi poljubno dolgo verigo tunelov SSH se je možno povezovati praktično na vse protokole (FTP, SSH, RDP, VNC…), po vrhu tega pa je povezava še kriptirana. Tunel SSH na strežniku server v sistemski lupini na oper. sistemu *unix ustvarimo z ukazom:

ssh user@server -L 2233:target:22

Uporabnik user se poveže na strežnik server na katerem ima račun. Ob povezavi se ustvari tunel TCP - odprejo se vrata TCP številka 2233 na lokalnem sistemu, ki povezujejo lokalni sistem s strežnikom server. Povezava na vrata TCP številka 2233 na lokalnem strežniku sproži povezavo do strežnika target skozi strežnik server (torej se uporabi njegov IP naslov pri povezavi), na vrata TCP številka 22 (privzeto strežnik SSH).

Strežnik SSH omogoča poleg statičnih vrat TCP tudi dinamična, kar “odklene” strežnik SSH v posredniški strežnik SOCKS.

ssh user@server -D 8080

Uporabnik user se poveže na strežnik server na katerem ima račun. Ob povezavi se ustvari tunel TCP - odprejo se vrata TCP številka 8080 na lokalnem sistemu, ki povezujejo lokalni sistem s strežnikom server. Povezava na vrata TCP številka 8080 na lokalnem strežniku sproži povezavo do poljubnih vrat TCP/UDP na poljuben naslov skozi strežnik server. Strežnik SOCKS se lahko uporabi v vsaki aplikaciji, ki podpira protokol SOCKS.

Windows uporabniki lahko isto dosežejo z nastavitvami v orodju PuTTy:

putty1.gifputty2.gif

Posredniški strežniki - proxy

HTTP proxy strežnik nam omogoča prikrivanje večine (ali vseh) podatkov o našem računalniku in povezavi, do katerih lahko dostopa strežnik s katerim pridemo v stik (skozi HTTP protokol). Ti podatki so med drugim: geografski izvor naše povezave (določen iz IP naslova), najpomembneje - naša identikacija (IP naslov), nameščen operacijski sistem, vrsta in različica spletnega brskalnika itd. Proxy strežniki, ki jih ločimo na transparentne in “prave anonimne” nam omogočajo, da se naši podatki do strežnika, ki ga obiščemo ne pošljejo ampak se nadomestijo s podatki proxy strežnika. Te podatke lahko ponekod tudi poljubno nastavimo. Transparentni proxy strežniki ne zagotavljajo anonimnosti in omogočajo zgolj to, da lahko dostopamo do spletnih strani, do katerih drugače ne moremo ali smemo zaradi notranjega ali zunanjega nadzora omrežja. Pravim anonimnim proxy strežnikom kiber kriminalci pravijo tudi elite proxy. Nivo anonimnosti pri proxy strežnikih je enostavno preveriti s pomočjo spletnih storitev, ki nam prikažejo zbrane podatke v HTTP “glavi”. Podatek v “glavi”, ki dejansko loči transparentne od pravih anonimnimih proxy strežnikov, je X-Forwarded-For, ki razkrije odjemalčev naslov, drugače javi neznano (unknown). Strežnik zazna, da je HTTP zahteva prišla skozi HTTP proxy, če je prisoten vsaj eden izmed parametrov v “glavi”: Via, Forwarded, X-Forwarded-For in Client-ip.
Proxy strežnike vseh tipov je mogoče najti v dnevno osveženih seznamih (2) na svetovnem spletu. Čeprav so nekateri proxy strežniki označeni kot elite, kiber kriminalci ne morejo zagotovo vedeti, komu pravzaprav ta posredniški strežnik pripada ter če se na njemu shranjujejo dnevniški zapisi uporabe. Na spletu lahko zasledimo opozorila, da vladne organizacije v ZDA rade same postavljajo proxy strežnike s pomočjo katerih bi prestregle nedovoljene aktivnosti nasedlih kiber kriminalcev. Vseeno pa so uporabni za vmesne člene v verigi proxy strežnikov (posebno, če se uporablja protokol HTTPS), ki jo lahko zgradimo z uporabo namenskih orodij, npr. SocksChain ali FreeCap.
Kiber kriminalci bodo zaradi vse te negotovosti radi na “zasežene” strežnike sami namestili (začasni) HTTP proxy strežnik, ki ga nato uporabljajo pri brskanju po spletu. Nastavijo ga tako, da ne beleži dnevnika uporabe in ne uporablja privzetih vrat. Delovanje lahko omejijo tudi samo na svoj izvorni IP naslov, kar pa je rizično dejanje, saj s tem razkrijejo svoj izvor v primeru, da si upravitelj sistema ogleda konfiguracijsko datoteko. Svoj izvor pa ne razkrijejo, če uporabljajo veriženje in tako omejitev na izvorni IP naslov nastavijo na vse, razen na prvi strežnik v verigi.

Brezžična omrežja WiFi

wifi_logo.jpgS prodorom brezžičnih omrežij v domove navadnih uporabnikov se je odprla nova priložnost za kiber kriminalce. Skozi vojne vožje (ang. war-driving) poiščejo ranljive vstopne točke, se nanj priklopijo in tako prevzamejo identiteto spletne povezave izbranega ponudnika, izvedejo napad in izginejo. Izsleditev takega napadalca je skoraj nemogoča. Navadni uporabniki na svojem računalniku skoraj zagotovo ne beležijo dnevnika dostopov do njihovega brezžičnega umerjevalnika, prav tako ne prestrezajo prometa. Če že beležijo dnevnik dostopov, bodo zabeležili le čas in MAC naslov brezžičnega vmesnika napadalca, ki pa ga je možno enostavno poneveriti. Brezžični usmerjevalniki hranijo zgodovino dostopov skupaj z MAC naslovom, a le za določen čas (do ponovnega zagona?). Iz MAC naslova je možno identificirati proizvajalca, kar bi približno identificiralo recimo mobilne naprave (te imajo svoj MAC), težje pa bi določili prenosnike saj ti pogosto uporabljajo omrežni vmesnik kakšnega drugega proizvajalca.

Trojanski konji in ostalo

Nepazljivi uporabniki svetovnega spleta lahko hitro postanejo tarča grožnjam, ki pretijo nanje za vsakim klikom. Neuporaba protivirusnih orodij, obiskovanje nepreverjenih spletnih mest ter prenos in zaganjanje nepreverjenih zagonskih datotek kaj hitro botrujejo okuženemu sistemu. Z okužbo s trojanskim konjem postane sistem del večje mreže (botnet), ki so lahko zlorabljeni za različne namene: razpošiljanje spam pošte (mail/spam relay), DDOS napade, proxy strežnik ipd. Med zelo razširjenimi je Zeus Trojan, ki je namenjen predvsem prestrezanju avtentikacijskih podatkov, napadalci pa ga lahko uporabijo tudi kot posrednik za povezovanje na druge oddaljene sisteme. Sam poznam primer, ko so nekomu zasegli osebni računalnik po prijavi nedovoljenih aktivostih z njegovega IP naslova. Izkazalo se je, da je bil sistem uporabnika okužen z nekim trojanskim konjem. V tem primeru uporabnik ni odgovarjal za dejanja, ki jih je preko njegovega sistema izvajal napadalec. Kaj pa če napadalec zavestno okuži enega izmed svojih sistemov in nato z istega sistema izvaja napade, nato pa se zgovarja, da je bil njegov sistem zlorabljen zaradi okužbe, ki je to dopuščala? Davno je že tega ko so bili aktualni Sub7, BackOrifice in podobni trojanski konji, ki so ravno tako omogočali uporabo okuženega sistema za povezovanje na druge oddaljene sisteme.

Potem so tu še storitve, ki ponujajo anonimnost proti plačilu. Predvsem gre tu za privatne VPN povezave. Kiber kriminalci zasežejo ali najamejo strežnike širom sveta in nanje namestijo posredniške sisteme, ki jih nato tržijo. Če vzamemo za primer spletno stran Cash Paradise, ki ponuja programe izobraževanja o spletnih prevarah, lahko zasledimo kot del vsakega paketa tudi DoubleVPN for security in network.

Združevanje telekomunikacijskega in informacijskega omrežja

Najzahtevnejša in najučinkovitejša metoda, ki jo lahko kiber kriminalci uporabijo je dostop do IKS skozi večje število posredniških sistemov, ki so med seboj povezani skozi tako telekomunikacijsko kot tudi informacijsko omrežje.

Spodnja slika prikazuje eno izmed možnosti vzpostavitve povezave do tarče z uporabo telekomunikacijskega in informacijskega omrežja.


anonimnost2.jpg

1. Napadalec vstopi v svetovni splet skozi nezaščiteno brezžično točko, ki jo je lociral s pomočjo vojne vožnje.

2. Od tod vzpostavi preko protokola telnet vzvratno povezavo na enega izmed modemov znotraj modem pool na Cisco usmerjevalniku. Tehnika se imenuje Reverse telnet session to a modem, modemi pa so običajno dostopni na vratih številka 2001 in dalje. Dostop je zaščiten z avtentikacijo.

3. Napadalec sedaj z ukazom AT sproži klicanje sistema za podaljšano izbiranje do interne telefonske številke neke privatne telefonske centrale na kateri je nastavljena preusmeritev klica.

4. Klic je preusmerjen na še en Cisco usmerjevalnik, ki omogoča klicni dostop. Tukaj predpostavimo, da račun, ki si ga lasti napadalec ne prikliče PPP načina ob vstopu v sistem ampak ponudi lupino IOS.

5. Napadalec se sedaj z uporabo protokola SSH poveže na oddaljeni strežnik in od tod še dalje do sistema na katerem hrani vsa napadalska orodja in prične izvajati napad.

Ne pozabimo, da napadalec izbriše dnevniške zapise na sistemih, kjer poseduje upraviteljski dostop.

Sledenje povezavam

Problematični so napadalci, ki obvladajo veliko različnih tehnologij in znajo del vsake zlorabiti za doseganje določene stopnje anonimnosti. Če si pogledamo primer, kjer si napadalec najprej zagotovi anonimnost v telekomunikacijskem omrežju in nato še v informacijskem ali celo preklaplja med obema, je takšnega napadalca izredno težko izslediti. Sledenje je težavno, saj se mora med ponorom in izvorom menjati sledilna metoda. Takega napadalca lahko izsledimo zgolj v pričakovanju, da pri vsakem napadu uporablja isto pot, ki jo postavimo pod drobnogled vnaprej.
Primeri, kjer kiber kriminalci uporabljajo za prikrivanje svojega izvora le sisteme, ki nudijo t.i. psevdoanonimnost, hitro najdejo svojo mesto v medijih. Redkeje pa se navaja primere, kjer so kiber kriminalci uporabljali zapletenejše načine prikrivanja identete a so jih kljub temu izsledili. Na spletu bomo našli precejšnje število strani z navodili o doseganju anonimnosti a v končnem velja, da je za doseg tega cilja potrebno veliko znanja in (neupravičen) dostop do IKS.

Prepričan sem, da sem zaradi nepoznavanja vseh tehnik in metod doseganja anonimnosti v IKS, tudi kakšno izmed njih izpustil.

UPDATE 02/04/2011
Bralec me je opozoril na uporabo DNS strežnikov, ki lahko, če hranijo dnevniški zapis, pripomorejo k lociranju kiber kriminalcev. Podatke z dnevniških zapisov npr. spletnega strežnika in DNS strežnika je možno časovno uskladiti in sklepati o pravem IP naslovu izvora (ki v dnevniških zapisih spletnega strežnika najverjetneje pripada proxy strežniku). Ne pozabimo, proxy strežnik ne nudi možnosti posredovanja povpraševanj iz DNS (DNS query)!

Uporabniki kabelskih modemov pozor!

K odločitvi, da pripravim tokratni prispevek me je privedlo nenavadno odkritje na mojem usmerjevalniku (ang. router) - neobičajno veliko število ARP zahtev, ki v zelo kratkem času dobesedno poplavljajo moj omrežni vmesnik. Anomalija je najverjetneje posledica neustrezne konfiguracije opreme mojega ponudnika internetnih storitev, lahko pa da gre za, kot pričajo nekateri viri, pričakovano delovanje v kabelskem omrežju. Moj kabelski operater, ki ga neposredno ne bom izpostavljal, namreč dopušča prost pretok ARP zahtev med vsemi priključenimi omrežnimi napravami (beri kabelskimi modemi). Uvodoma spoznajmo kaj je to ARP (Address Resolution Protocol).

ARP

ARP pošilja po omrežju ARP zahteve (ARP requests). ARP zahtevo si lahko poenostavimo kot vprašanje “Je tvoj IP naslov x.x.x.x? Če je odgovor pritrdilen mi pošji MAC naslov”. Ti paketi se oddajajo (broadcast) vsem napravam v omrežju, tudi skozi preklopnik. Vsaka naprava v omrežju posreduje odgovor (svoj MAC, ARP reply), če nosi omenjen IP naslov.
Da bi operacijski sistem zminimiziral število ARP zahtev, hrani tabelo ARP odgovorov (cache). Velika večina naprav to tabelo posodobi, ko prejme ARP odgovor, četudi ni pred tem poslala ARP zahteve. ARP tabela nosi podatek o IP naslovih in pripadajočih MAC naslovih.

Praviloma smemo v lastnem omrežju videti ARP zahteve zgolj tistih naprav, s katerimi smo v stiku preko stikal na istem omrežnem nivoju oz. si z njimi delimo isto podomrežje (ang. subnet). Tipično bomo v manjšem domačem ali službenem omrežju ob pregledovanju pretoka podatkov v omrežju zasledili na trenutke ARP zahteve ostalih omrežnih naprav znotraj tega podomrežja. Napadalci lahko, v kolikor postanejo del tega podomrežja, izkoriščajo ranljivosti v načinu delovanja ARP in tako izvajajo številne napade. Eden izmed napadov je slepljenje ARP (ang. ARP spoofing).

Slepljenje ARP zahtev

Slepljenje ARP vključuje pošiljanje lažnih ARP dogovorov napravi v omrežju. Naprava, ki je tarča tovrstnega napada bo imela posledično neustrezno ARP tabelo in Ethernet bo zaradi tega posredoval okvirje napačni napravi. Proces slepljenja ARP zahtev na napravi tarče imenujemo tudi zastrupljanje njene ARP tabele.

V podrobnosti delovanja slepljenja ARP zahtev oz. zastrupljanja ARP tabel se ne bomo spuščali, saj je tematiko že dodobra razdelal strokovnjak za informacijsko varnost Edi Strosar v članku za revijo Monitor z naslovom ARP - Address Resolution Protocol - napadi in obramba

Morda sem že namignil h kateri obliki napada pripomore dejstvo, da moj kabelski operater dopušča prestrezanje ARP zahtev na mojem usmerjevalniku, ki jih oddajajo priključene omrežne naprave (kabelski modemi ali omrežni vmesniki) ostalih enakovrednih uporabnikov. Spoznali bomo, da ostali uporabniki ravno tako prejemajo naše oddane ARP zahteve. Napadi, kot so slepljenje ARP zahtev niso redkost in so izvedljivi praktično v vsakem Ethernet omrežjih, kjer je uporabljen ARP pri razreševanju IP naslovov. Orodij, ki se uporabljajo v ta namen je mnogo, mi pa si bomo pogledali verjetno enega izmed najpogosteje uporabljenih na operacijskem sistemu Linux: arpspoof. arpspoof je orodje, ki je del paketa dsniff. Paket je na voljo tako za distribucije Ubuntu, Debian kot tudi OpenSuSE (paket za 11.0 bo deloval tudi na zadnji različici 11.3). arpspoof bo, v kolikor bo ARP zahteva nemoteno prispela do tarče, na njej spremenil ARP tabelo tako, da bo ta v svoj medpomnilnik (ang. cache) zapisala naš MAC naslov k IP naslovu, ki ga želimo zaslepiti. Ker je slutiti, da bodo ARP zahteve, poslane z mojega usmerjevalnika dejansko prispele do tarče in s tem priredile njeno ARP tabelo, je čas da preverimo to tudi v praksi.

Preden pa zaidem v podrobnejšo razlago, si je smiselno ogledati infrastrukturo omrežja s katero imamo opraviti. Gre za splošno omreženje, ki je verjamem da dokaj pogosto - morda z rahlim odstopanjem - pri mnogih uporabnikih:


diagram1-copy.jpg

Za nas bodo v nadaljevanju pomembni predvsem isp_gw, gateway in target. Če se vrnem k prvotni niti je prisluškovanje svojemu lastnemu omrežju seveda najbolj smiselno izvajati na prehodu saj bomo s tem zabeležili vso komunikacijo med prehodom našega ISP-ja in našim notranjim omrežjem. Za nadzor nad mrežnim pretokom lahko uporabimo več različnih orodij, ker pa sam uporabljam operacijski sistem Linux, se bom poslužil orodja tcpdump.

Testiranje preusmeritve prometa naključnemu odjemalcu znotraj mojega podomrežja

S preprostim testom sem želel ugotoviti ali je zastrupljanje z ARP paketi v omrežju mojega ponudnika internetnih storitev mogoče. Uporabil bom orodja tcpdump s katerim bom preveril podatkovni promet in arpspoof s katerim bom zastrupil ARP tabelo naključne tarče. Odločil sem se, da celoten postopek nazorno prikažem v video posnetku.



Video: prikaz napada z zastrupljanjem ARP tabele

Kako se obvarovati pred napadi s sleparjenjem ARP zahtev?

Najhitrejši ukrep je določitev statičnega MAC naslova za s strani našega ISP-ja dodeljeni prehod (isp_gw). Tako v oper. sistemu Linux kot Windows, je to mogoče narediti z ukazom arp -s. Na ta način bomo enomogočili, da bi IP naslovu našemu prehodu nekdo vsilil lažen MAC naslov. S tem smo rešili žal le polovico problema, saj bo napadalec še vedno lahko zastrupljal ARP tabelo na prehodu in tako preusmeril promet, ki je namenjen na vaš IP naslov, k sebi. Sedaj je na vrsti ogled pogodbe, ki smo jo podpisali z našim ponudnikom internetnih storitev. V moji pogodbi operater pravi v enemu izmed členov, da bo “v največji meri zagotavljal zaščito omrežja in storitev pred zlorabami”. No, to vsekakor v mojem primeru ne drži. Verjetno ima vsak ISP svojo predstavo o tem, kaj pomeni “največja mera zaščite”.

Viri:
An Introduction to ARP Spoofing (pdf)
Sniffing A Cable Modem Network: Possible or Myth? (pdf)

Spletna stran carders.cc spet tarča hekerjev

Spletna stran carders.cc je bila včeraj že drugič letos tarča napada samooklicanih borcev proti zločinu (ang. vigilante), ki se ne predstavljajo pod določenim imenom. Božičnega pozdrava “MERRY NINJA HAXMAS” pa so bile na božični dan deležne tudi spletne strani exploit-db.org in backtrack-linux.org.

Napadi so natančno dokumentirani - no, vsaj vsebina strežnikov in konfiguracijskih datotek, v božični izdaji e-zine Owned and Exposed - ISSUE no 2. V tej številki, za katero verjamem da ni zadnja, napadalci pojasnijo razloge za napad zgoraj omenjenih spletnih mest ter razkrijejo, da ima hekersko orodje ettercap že zadnjih pet let nameščena stranska vrata (ang. backdoor).


oande2.png

Infosec.si vam želi srečno in varno leto 2011!

Podrobnosti in mySQL dumps: http://tasteless.us/allgemein/admin/carders-cc-free-hack-gehackt-happy-ninjas-strike-back.html
Primarni vir: http://krebsonsecurity.com/2010/12/carders-cc-linux-exploit-org-and-exploit-db-org-hacked